Firefox、一部のウイルス対策製品の影響でSHA-1対応を一時的に復活 | スラド セキュリティ
Firefox 43で1月1日よりSHA-1を使って署名された新規の証明書のサポートが中止された。しかし、これによって「中間者攻撃的な挙動を行うデバイス」を利用しているユーザーがHTTPSを利用できない状況になったことから、Firefox 43.0.4では一時的にSHA-1を利用する証明書のサポートを復活させることにしたという(ITmedia、Mozilla Security Blog)。 いくつかのセキュリティソフトやウイルス対策ソフトなどが「中間者攻撃的な挙動を行うデバイス」に含まれる模様。こういったソフトウェアはHTTPSで保護された通信内容にアクセスするために独自に作成した証明書を利用するが、その証明書がSHA-1を利用している場合問題が発生するという。
ハッシュ衝突でTLSを破るSLOTH攻撃(CVE-2015-7575)とは何か - ぼちぼち日記
0. 簡単なSLOTH攻撃のまとめ 最初に簡単なまとめを書いておきます。長文になりそうなので、読むのが大変な方はここだけ見ておいてください。 MD5ハッシュは既に安全ではなく、証明書の署名方式での利用は停止されていたが、後方互換のためハンドシェイクデータの署名方式にRSA-MD5が今でも利用できるTLS実装が幾つか存在していた(Firefox NSS, Java等)。 先週、INRIAグループからハッシュ衝突を利用して実際にTLSを破る攻撃(SLOTH)が公開された。それを受け、いくつかの実装でRSA-MD5を完全に利用不能にする修正が行われた(CVE-2015-7575)。 SLOTHでは、SHA1やTLS、IKE、SSHに対する攻撃についても評価を行い、幾つかは全く現実的に不可能なレベルではないことが示された。MD5とSHA-1でTLSハンドシェイクの完全性を担保しているTLS1.0/
Let's Encryptの証明書、不正広告攻撃に悪用される | 財経新聞
Trend Microによると、昨年12月下旬に急増した不正広告(malvertising)攻撃で、マルウェアをホストするサーバーへの通信を暗号化するためにLet's Encryptの発行したサーバー証明書が使われていることが確認されたそうだ。Let's Encryptは無料でDV証明書を発行するサービスで、12月3日にパブリックベータへ移行している(TrendLabs Security Intelligence Blogの記事、The Registerの記事、InfoWorldの記事)。 攻撃は不正な広告を用いてAngler Exploit Kitをホストするサイトに誘導し、ネットバンキングをターゲットにしたトロイの木馬をインストールさせるというもの。主に日本のユーザーが攻撃の対象となっており、Trend Microでは昨年9月に確認された不正広告攻撃の続きとみている。 攻撃者はdoma
websec-room.com - websec room リソースおよび情報
This webpage was generated by the domain owner using Sedo Domain Parking. Disclaimer: Sedo maintains no relationship with third party advertisers. Reference to any specific service or trade mark is not controlled by Sedo nor does it constitute or imply its association, endorsement or recommendation.
Let's Encrypt is Trusted - Let's Encrypt
We’re pleased to announce that we’ve received cross-signatures from IdenTrust, which means that our certificates are now trusted by all major browsers. This is a significant milestone since it means that visitors to websites using Let’s Encrypt certificates can enjoy a secure browsing experience with no special configuration required. Both Let’s Encrypt intermediate certificates, Let’s Encrypt Aut
SSL/TLSの基礎と最新動向
1. SSL/TLSの基礎と最新動向 セキュリティキャンプ 2015 2015年8月12日 IIJ 大津 繁樹 更新版資料の置場 http://goo.gl/cX1M17 Github Repo: https://goo.gl/vRLzrj 2. 自己紹介 • 大津 繁樹 • 株式会社 インターネットイニシアティブ • プロダクト本部 アプリケーション開発部サービス開発2課 • NodeJS Technical Committee メンバー • (主にTLS/CRYPTO/OpenSSLバインディングを担当) • IETF httpbis WG で HTTP/2相互接続試験等仕様策定に参画。 • ブログ: http://d.hatena.ne.jp/jovi0608/ 3. はじめに • TLS(Transport Layer Security)の仕組みについて学んでいただき ます。 •
「常時SSL」の疑問に答えよう、どうすればできるか
簡単に解説すると、安価な証明書はそのほとんどが「ドメイン認証」であり、通常は個人利用が多い。その次が法的な実在証明を行う証明であり、一般企業の多くがこの方式を採用している。最も厳格なものは以前にも解説したが「EV SSL」だ。「物理的実在証明」と呼ばれている。安全な場合はWebブラウザのアドレスバーが緑色に変化するので、初心者が見ても分かりやすいと評判だ。 EV SSL証明書は価格が少し高いものの、顧客の安全を考慮するなら、十分に検討に値するものだろう。定価ベースで年間に約7万~10万円ほど高いだけだ。月1万円にも満たない価格差でより大きな安心感を得られると思えるが、あまり普及していないのは残念である。証明書の処理については、確かに厳密な確認を行うものであるほど時間がかかると想定される。だが、体感ではユーザーが全く気付かない場合がほとんどだろう。 また、「証明書失効リスト」(CRL)をチェ
HTTPS 化する Web をどう考えるか - Block Rockin’ Codes
Update 2015/5/8: 指摘頂いたタイポや誤訳などを更新しました。 2015/5/8: 構成を一部修正しました。 Intro 4/30 mozaiila のセキュリティブログに下記のようなエントリが投稿されました。 Deprecating Non-Secure HTTP | Mozilla Security Blog エントリはそこまで長くないので、ここに翻訳の全文を記載します。 そして、元エントリのライセンスである CC BY-SA 3.0 に則り、 本エントリも同じく CC BY-SA 3.0 とします。 Deprecating Non-Secure HTTP 原文: Deprecating Non-Secure HTTP 今日は、 non-secure な HTTP から、徐々に廃止していくという方針についてアナウンスします。 HTTPS が Web を前進させる手段である
【セキュリティ ニュース】フィルタリング製品が不正なルート証明書を使用 - 秘密鍵が漏洩(1ページ目 / 全1ページ):Security NEXT
Content Watchが提供するフィルタリングソフトの「Net Nanny」が、問題あるルート証明書を端末内にインストールすることがわかったとして、セキュリティ機関が注意を喚起した。不正なサイトを信頼したり、暗号化通信が盗聴されるおそれがある。 同製品は、通信を中継するプロクシとルート証明書を端末内にインストールするが、製品で共通の秘密鍵とルート証明書を使用。くわえて秘密鍵はソフト内部に平文で保存されており、取り出すことが可能だという。 同製品利用者は、この秘密鍵によって作成された自己署名証明書によるHTTPS通信を信頼してしまうため、フィッシングサイトに用いられたり、暗号化通信の盗聴などに悪用されるおそれがある。 セキュリティ機関は、「同7.2.4.2」において脆弱性を確認しており、他バージョンも影響を受けるおそれがあると指摘。 4月21日の段階で対策はわかっておらず、セキュリティ機
Google、広告でもHTTPS化を推進
Google Display NetworkやDoubleClickパブリッシャーに配信される広告の大部分が2015年6月30日までに暗号化されると発表した。 WebのHTTPS化を推進する米Googleは4月17日、同社の広告ネットワーク経由で配信する広告の大部分を暗号化すると発表した。 Googleは、Webサイトのセキュリティを強化する目的で「HTTPS Everywhere」を提唱。Web管理者に対してHTTPSの実装を促し、検索ランキングにも反映させている。 今回はこの対象を広告にも広げ、2015年6月30日までに、Google Display NetworkとAdMobおよびDoubleClickパブリッシャーに配信されるモバイル、ビデオ、デスクトップディスプレイ広告の大部分が暗号化されると発表した。 また、AdWordsやDoubleClickなど同社の広告掲載サービスを利用
MITM攻撃のための設定変更に特化した新たなマルウェア、その巧妙な手口とは
MITM攻撃のための設定変更に特化した新たなマルウェア、その巧妙な手口とは:VAWTRAK撲滅作戦が発動するも…… 警視庁サイバー犯罪対策課は、総務省などと連携して、インターネットバンキングのユーザーを狙って不正送金を行うマルウェア「VAWTRAK」の撲滅に向けた取り組みを実施した。だが一方で、巧妙な手口を用いる新たなマルウェアが報告されている。 警視庁サイバー犯罪対策課は2015年4月10日、主にインターネットバンキングのユーザーを狙って不正送金を行うマルウエア「VAWTRAK」の撲滅に向けた取り組みを、総務省やテレコム・アイザック推進会議(Telecom-ISAC)と連携して実施していることを明らかにした。一方で、VAWTRAKに続く新たなオンラインバンキングマルウエア「WERDLOD」の存在が明らかになり、トレンドマイクロが注意を呼び掛けている。 VAWTRAKは、2014年前半から
暗号化通信を盗聴可能にする攻撃、日本のネットバンクを標的に
同社によるとWERDLODは、日本語で書かれた通販会社の偽の請求書を通じて感染する。メールには「ご注文No.」や「画像をダブルクリックして領収書をお受け取りください」と記載され、「Invoice」と書かれている場合もある。添付されているRTFファイルを開くと感染してしまう。 感染後にWERDLODは、PCのレジストリを書き換え、ユーザーが26のJPドメインへアクセスする際に、攻撃者が設置したとみられるプロキシサーバを経由するように設定を変更する。26のJPドメインは、攻撃者が指定した可能性のある4つの大手金融機関と10の地方銀行などのネットバンキングサイトが含まれていた。 さらにWERDLODは、細工したルート証明書を感染PCにインストールする。インストール時に警告が表示されるが、WERDLODが勝手に警告メッセージの「はい」ボタンを押してしまうため、ユーザーが気付く間もなく、勝手に証明書
中国認証局がGoogleの決定を非難、証明書の失効を巡り
米Googleは現地時間2015年4月1日、中国インターネット情報センター(CNNIC:中国互聯網絡信息中心)の証明書を今後信用しないと発表した。複数の海外メディアの報道によると、CNNICは同社の決定を非難している。 同社は3月20日、複数のGoogleドメインに対して不正なデジタル証明書が発行されていることを確認。証明書は「MCS Holdings」というエジプト企業の中間認証局(CA)から発行された。中間CA証明書はCNNICが発行したもので、CNNICはすべての主要ルートストアに含まれているため、ほとんどのブラウザーとOSがその不正デジタル証明書を信用してしまう危険性がある。GoogleはただちにCNNICと他の主要ブラウザーに連絡し、MCS Holdingsのデジタル証明書を遮断する措置をとった。 GoogleはCNNICと共同で調査を行った結果、今後CNNICが新たに発行するル
GoogleやMozillaが中国の認証局が発行する証明書を「信頼できないもの」として失効させる
Google ChromeとMozillaのFirefoxが、中国の認証局(CA)である「CNNIC」が発行する証明書を「信頼できないもの」として一時的に失効させることを発表しました。 Google Online Security Blog: Maintaining digital certificate security http://googleonlinesecurity.blogspot.jp/2015/03/maintaining-digital-certificate-security.html Distrusting New CNNIC Certificates | Mozilla Security Blog https://blog.mozilla.org/security/2015/04/02/distrusting-new-cnnic-certificates/ Goo
Googleドメイン用に不正なデジタル証明書、主要ブラウザが失効措置
不正な証明書はコンテンツ偽装や通信に割り込む中間者攻撃などに利用される恐れがあるとされ、GoogleやMicrosoft、Mozillaは問題の証明書を失効させる措置を講じた。 米Googleは3月23日、複数のGoogleドメイン用に不正なデジタル証明書が発行されていたことが分かり、問題の証明書を失効させたと発表した。不正な証明書はコンテンツ偽装や通信に割り込む中間者攻撃などに利用される恐れがあるとされ、Googleから連絡を受けたMicrosoftやMozillaも同様の措置を講じている。 各社の説明によると、問題の証明書はMCS Holdingsという下位認証局を通じて発行されていた。MCS Holdingsは、信頼できるルート認証局である中国のChina Internet Network Information Center (CNNIC)の下位にある認証局で、CNNICもMCS
Microsoft、「FREAK」の脆弱性発覚で対応を説明
WindowsへのTLS/SSL実装に使われている「セキュアチャネル」(Schannel)に脆弱性があり、サポート対象の全Windowsが影響を受ける。 インターネットの通信の暗号化に使われるTLS/SSLプロトコルに1990年代の米暗号輸出規制に起因する脆弱性が発覚した問題(FREAK)で、米Microsoftは3月5日にアドバイザリーを公開し、WindowsへのTLS/SSL実装に使われている「セキュアチャネル」(Schannel)にこの脆弱性が存在していることを確認した。 アドバイザリーによると、Schannelの脆弱性はサポート対象の全Windowsが影響を受ける。同社で検証した結果、攻撃者がこの問題を突いた中間者攻撃を仕掛ければ、暗号化されたSSL/TLSセッションの質を低下させ、クライアントシステムに強度の弱いRSA輸出暗号を使わせて、暗号を解除できてしまう恐れがあることが確認
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
DeNA Engineering - DeNAエンジニアのポータルサイト
さよならSSL ~「安全な通信」標準が使用禁止になったわけ
TLSに新たな脆弱性「Logjam」、多数のサーバーや主要ブラウザーに影響 
「メールのみ確認」のSSL証明書不正取得問題、影響を受けないベンダ一覧(CERT/CC) | ScanNetSecurity
